Skip to content

Adobe, Microsoft, das BKA und HTML 5 als Objekt einer Nutzerbewertung

Heute beginnt in Mainz die WebTech Conference, und da ich noch mit letzten Vorbereitungen für meinen Vortrag beschäftigt bin, es andererseits aber eigentlich einiges zu kommentieren gäbe, gibt es heute quasi eine "kommentierte Linksammlung", frei nach dem Motto: "Wenn Microsoft Adobe kauft, lädt das BKA bestimmte Journalisten ein und warnt mit dem W3C in einer gefälschten Rezension vor HTML 5".

Microsoft kauft Adobe, oder: Steve Ballmer verliert die Geduld?

Es gibt Anzeichen dafür, dass Microsoft Adobe kaufen könnte. Microsoft-Chef Steve Ballmer und Adobe-CEO Shantanu Narayen haben sich angeblich darüber unterhalten, wie sie künftig gemeinsam stärker gegen Apple vorgehen könnten, um dessen starke Position im US-Smartphone-Markt zu schwächen. Smartphone-Markt? Adobe und Microsoft? Sind die da aktiv? Ich vermute ja eher, da ging es um was anderes: Adobes ständige Gefährdung von Windows-Systemen. Steve Ballmer dürfte genug davon haben, dass Microsoft sich abmüht, Windows Sicher zu machen, und dann kommt Adobe und reißt mit Flash Player und Adobe Reader ständig durch 0-Day-Schwachstellen neue Lücken auf.

Microsofts Anstrengungen, Windows und eigene Anwendungen nicht zuletzt durch den Software Development Lifecycle Sicher(er) zu machen, haben sich in den letzten Jahren ausgezahlt. Am Dienstag wird es einen neuen Rekord-Patchday geben, den zweiten in diesem Jahr, mit 16 Security-Bulletins für insgesamt 49 Schwachstellen. Mit 0-Day-Schwachstellen hat Microsoft zwar trotzdem noch zu kämpfen, aber selbst wenn wie im Fall von Stuxnet einmal vier davon auf einmal ausgenutzt werden, steht Adobe deutlich schlechter dar. Vermutlich hat Steve Ballmer einfach mal Tacheles geredet und dem Adobe-CEO Alternativen aufgezeigt: Entweder, Adobe strengt sich endlich an und bekommt die Schwachstellen in den Griff, oder Microsoft fasst mal eben in die Portokasse und bekommt Adobe in den Griff.

Hat das BKA etwa etwas zu verbergen?

Das BKA hat laut ZEIT Online "ausgewählten Journalisten" Ermittlungen vorgestellt, die an der fehlenden Vorratsdatenspeicherung gescheitert sind. Die ZEIT gehört nicht dazu (zu den ausgewählten Journalisten). Das BKA hat doch nicht etwas irgendwas zu verbergen? Wenn nicht, könnte man es ja der gesamten Presse mitteilen, oder? Aber wahrscheinlich hat man einfach Angst, dass sich diese Zahlen genauso wie die letzten als Luftnummern erweisen. Aber wenn das BKA meint, die eigenen Aussagen dadurch entwerten zu müssen, dass sie sie nur "ausgewählten Journalisten" zukommen lässt, kann uns das ja eigentlich nur recht sein.

W3C rät von HTML-5-Einsatz ab

Das W3C warnt vor dem grossflächigen Einsatz des noch nicht vollständig entwickelten HTML 5. Dem kann ich aus Sicherheitssicht nur zustimmen: Solange es keinen fertigen Standard gibt, weichen die verschiedenen Implementierungen der Browser unweigerlich voneinander ab. Abweichungen vom Standard sind immer gefährlich: Wenn HTML 5 in einem Browser anders gerendert wird als im anderen, kann das Angriffe, insbesondere natürlich XSS, ermöglichen. Wobei XSS im Fall von HTML 5 vielleicht nicht mal das schlimmste Problem ist, immerhin wird HTML 5 ja eine Art digitaler Eierlegender Wollmilchsau werden und z.B. den Zugriff auf eine vorhandene Webcam erlauben.

Mit Standard gibt es die unterschiedlichen Interpretationen der Tags etc. das zwar auch, aber dann kann man zumindest feststellen, wer einen Fehler gemacht hat.

Wer vertraut schon Nutzerbewertungen?

WeTab-Chef Helmut Hoffer von Ankershoffen bewertet sein WeTab unter falschen Namen bei Amazon, und das Internet-Shopping-Portal der Deutschen Telekom hat 1000 Kundenbewertungen von einer Textagentur schreiben lassen. Wenn man keine eigenen Benutzer hat oder die partout nicht schreiben wollen, wird man ja wohl mal nachhelfen dürfen, oder? Das sind nicht die ersten gefälschten Nutzerbewertungen, die gab es auch z.B. im Februar 2008 mehrfach. Klarer Fall: Nutzerbewertungen darf man nur bedingt vertrauen. Aber sollte das nicht selbstverständlich sein? Dass die im Zweifelsfall auch mal im Auftrag der jeweiligen Hersteller verfasst worden sein können, sollte jedem klar sein. Und das nicht jeder, der ein Produkt bewertet, das überhaupt schon mal in der Hand gehabt hat, sieht man ja bei Amazon: Wenn da z.B. eine deutschsprachige DVD-Box bewertet wird, bevor die Filme überhaupt synchronisiert wurden, kann ja wohl nichts brauchbares dabei raus kommen. Die verlinkte DVD-Box soll nach mehreren Verschiebungen am 11. Oktober 2010 erscheinen, die ersten Nutzerbewertungen gab es am 21. Mai 2009. Da war die Box gerade mal als deutsche Version angekündigt und die Veröffentlichung sogar noch unsicher. Diese Bewertungen sind sicher gut gemeint, aber eben doch falsch. Und das ist nur ein Beispiel von vielen. Wenn die Telekom Bewertungen gleich komplett erfinden lässt, muss das Ergebnis also nicht unbedingt schlechter sein.

Carsten Eilers

Trackbacks

Keine Trackbacks